Nueva campaña global dirigida a compañías nucleares, de defensa, energéticas y financieras

viernes, 14 de diciembre de 2018

Se descubrió una nueva campaña global dirigida a compañías nucleares, de defensa, de energía y financieras.

La campaña llamada “Operation Sharpshooter”, se instala a nivel de memoria y ordena una segunda ejecución, llamada “Rising Sun”, el cual utiliza el código fuente del troyano “DUUZER”, diseñado para abrir una puerta trasera en el sistema operativo, a través de la cual los atacantes pueden recopilar información del sistema, crear, listar, eliminar procesos, acceder, modificar, borrar archivos y ejecutar comandos.

Rising Sun, apareció en 87 organizaciones en todo el mundo en Octubre y Noviembre del 2018. Se cree que la intención es recopilar información sobre individuos de interés específicos, que administran datos relacionados con las industrias de interés, como son las relacionadas  con la defensa y gobierno.

La forma de ataque, es por medio de un documento de Microsoft Word versión coreana, que tienen el nombre del autor del archivo “RICHARD”, con sus metadatos en coreano. Los documentos detectados, tienen títulos de descripción de trabajo, para empresas desconocidas, distribuidas por una dirección IP en Estados Unidos, utilizando Dropbox.

Este archivo Word, contiene una macro  maliciosa que utiliza una Shellcode incorporada, para inyectar el sharpshooter en la memoria, el que tiene por misión descargar el segundo malware que se encuentra alojado en hxxps://www.kingkoil.com.sg/query.php. En la siguiente etapa, la descarga es guardada en la carpeta de inicio como,  %Startup%\mssync.exe, con ello asegurar la persistencia en el sistema operativo.

Si bien existen numerosos vínculos técnicos con el “grupo Lazarus”, aún no se ha comprobado su responsabilidad de los ataques.

RECOMENDACIONES

Se sugiere el bloqueo de los siguientes Indicadores de compromiso.


HASHES.

  • 8106a30bd35526bded384627d8eebce15da35d17
  • 66776c50bcc79bbcecdbe99960e6ee39c8a31181
  • 668b0df94c6d12ae86711ce24ce79dbe0ee2d463
  • 9b0f22e129c73ce4c21be4122182f6dcbc351c95
  • 31e79093d452426247a56ca0eff860b0ecc86009

 SERVIDORES DE CONTROL.

  • 34.214.99.20/view_style.php
  • 137.74.41.56/board.php
  • kingkoil.com.sg/board.php

URLS DE DOCUMENTOS.

  • hxxp: //208.117.44.112/document/Strategic Planning Manager.doc
  • hxxp: //208.117.44.112/document/Business Intelligence Administrator.doc
  • hxxp://www.dropbox.com/s/2shp23ogs113hnd/CustomerServiceRepresentative.doc? dl = 1

 REFERENCIAS







COMPARTIR:

Twitter Facebook Google Pinterest
Nombre

Actualización,5,Actualizaciones,4,AD,1,Adobe,3,Adware,4,AgentTesla,1,android,34,Antivirus,3,Apache,1,APP,1,Apple,17,Apps,14,APT,2,Arkavia Networks,16,asus,1,Ataques,8,Azure,3,Backdoor,5,Bancos,6,Barracuda,1,Bases de Datos,7,BCE,1,Bluetooth,1,bootHole,1,Botnet,8,Botnet. Malware,1,BYOVD,1,Check Point,5,Chile,3,Chips,1,Chrome,3,Ciberataque,9,Cibercrimen,156,Cibercriminales,4,Ciberdelincuencia,17,ciberseguridad,180,Cisco,4,Citrix,6,Cloud,3,Cloudflare,1,CMS,1,ComRAT,1,Comunicaciones,1,conexión,2,Consejos,2,CONVID,1,CookieThief,1,Coronavirus,1,Corporation,1,COVID19,2,CPU,3,Criptomineria,1,Criptomonedas,7,CSP,1,CTF,1,CVE,2,cyber day,2,Cyberwarfare,5,Dark Web,3,Data Breach,3,Data Leak,14,Database,3,DataLeak,2,Datos,2,DDoS,6,Debate,1,Deep Web,5,dispositivos,1,dlink,1,DNS,2,Domains,1,DoS,5,Dropper,1,Ecommerce,3,elasticsearch,1,Email,5,Emotet,3,Empresas,116,endpoint,1,enrutadores,1,Estadisticas,1,estado,1,evento,1,Eventos,6,Evilnum,1,Exchange,5,exploit,9,Exploits,15,Extensiones,2,Extensions,2,F5 Networks,1,Facebook,9,Falla,3,Fileless,1,Fintech,1,FireEye,2,Firewall,1,Firmware,2,Flash,2,Fortinet,1,Framework,1,FreakOut,1,Freta,1,GARMIN,2,Git,1,GitHub,1,Glueball,1,Gmail,3,gobierno,1,GoDaddy,1,google,35,Gootkit,1,GPS,2,GRUB2,1,grupoatp,1,Hacking,85,HALLOWEEN,1,Hardware,7,Hosting,3,HTML5,1,HTTP,2,IBM,1,IGMP,1,Industria,10,Infostealer,3,Instagram,2,Intel,2,Internacional,40,Internet,36,Investigacion,9,IOC,7,ios,6,IoT,4,ipad,1,iphone,1,ISO,1,Javascript,1,Joomla,1,LATAM,1,Latinoamerica,1,lazarus,1,LG,1,Linux,10,LoLbins,1,LSASS,1,macOS,1,Macromedia,1,malicioso,1,Malware,57,Malwares,32,Maze,2,MDM,1,memento,1,Messenger,1,MFA,1,Microsoft,41,Mirai,2,Monero,1,mongoDB,1,MSP,1,MSSQL,1,Mukashi,1,musica,1,Nacional,10,NAS,2,navidad,1,Nefilim,1,Negocios,2,Netgear,1,Netwalker,1,Node.js,1,Nube,1,Openwrt,1,Oracle,3,OS,9,Passwordless,1,Payload,2,Paypal,1,phishing,20,PHP,1,Plugins,1,PoC,2,prevención,1,Protocolos,12,ProxyLogon,1,Python,2,QNAP,1,QR,1,Ragnar_Locker,1,Ransomware,26,RAT,2,RCE,3,RDoS,1,RDP,4,Recomendaciones,21,Redes,31,redes sociales,12,Redhat,1,regalo,1,RegretLocker,1,Remoto,1,REvil,1,Rookit,1,Rootkit,2,Routers,3,RRSS,2,Ryuk,1,Saintbot,1,Salt,1,Salud,3,SAP,1,SeguridadTI,4,Servicios,8,Smartphones,30,SMB,5,Sodinokibi,1,Software,24,solarwinds,1,SonicOS,1,Sonicwall,1,Sophos,1,Spambot,1,Spamhaus,1,spotify,1,Spyware,11,SQL,1,SSL,1,streaming,1,Takedown,1,Teams,1,TeamViewer,1,tendencia,2,TerraMasterOS,1,Tool,1,Tools,2,TOS,1,Tplink,1,Trickbot,1,Trojan,4,Troyano,6,último,1,Update,6,updates,22,USB,1,Videoconferencia,1,VM,1,vmware,1,VNC,1,VPN,6,Vulnerabilidad,42,Vulnerabilidades,81,Web,8,WER,1,WhatsApp,7,Whirlpool,1,wifi,5,Windows,24,Winrar,1,Wordpress,4,Worm,2,Xerox,1,XG,1,Yahoo,1,Zeroclick,1,zeroday,4,Zerologon,1,Zoom,3,Zoombombing,1,
ltr
item
Arkavia Networks News: Nueva campaña global dirigida a compañías nucleares, de defensa, energéticas y financieras
Nueva campaña global dirigida a compañías nucleares, de defensa, energéticas y financieras
https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiUFQzDQGcch0LZcgkvYxWZnAJwadAj2ZBjcp7Q7mR8UBRawFAuOZznVIE-UETtoLsipgd6ozJ6huQmepgNLMTkL3ilKI_XYl-CzWY-pUsSJKOtbPOanb2v0_6QnL6zJrk98iz5s9YlOM0/s640/operation-sharpshooter.png
https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiUFQzDQGcch0LZcgkvYxWZnAJwadAj2ZBjcp7Q7mR8UBRawFAuOZznVIE-UETtoLsipgd6ozJ6huQmepgNLMTkL3ilKI_XYl-CzWY-pUsSJKOtbPOanb2v0_6QnL6zJrk98iz5s9YlOM0/s72-c/operation-sharpshooter.png
Arkavia Networks News
https://www.arkalabs.cl/2018/12/nueva-campana-global-dirigida-companias.html
https://www.arkalabs.cl/
https://www.arkalabs.cl/
https://www.arkalabs.cl/2018/12/nueva-campana-global-dirigida-companias.html
true
7213111567211435179
UTF-8
Se han cargado todas las publicaciones No se ha encontrado ninguna publicación. Ver Todos Leer Noticia Responder Cancelar Respuesta Eliminar Por Inicio PÁGINAS ENTRADAS View All RECOMENDADO PARA TI ETIQUETA ARCHIVOS BUSQUEDA TODAS LAS ENTRADAS No se ha encontrado ninguna coincidencia de publicación con su solicitud. Volver al Inicio Sunday Monday Tuesday Wednesday Thursday Friday Saturday Sun Mon Tue Wed Thu Fri Sat January February March April May June July August September October November December Jan Feb Mar Apr May Jun Jul Aug Sep Oct Nov Dec just now 1 minute ago $$1$$ minutes ago 1 hour ago $$1$$ hours ago Yesterday $$1$$ days ago $$1$$ weeks ago more than 5 weeks ago Followers Follow THIS PREMIUM CONTENT IS LOCKED STEP 1: Share. STEP 2: Click the link you shared to unlock Copy All Code Select All Code All codes were copied to your clipboard Can not copy the codes / texts, please press [CTRL]+[C] (or CMD+C with Mac) to copy